CVE-2026-28502

Nome do Software Vulnerável e Versões Afetadas Versões do AVideo anteriores à 24.0

Descrição O AVideo é uma plataforma de vídeo de código aberto. Uma vulnerabilidade de Execução Remota de Código (RCE) foi identificada na funcionalidade de upload/importação de plugins. Um administrador autenticado poderia fazer o upload de um arquivo ZIP especialmente elaborado contendo arquivos executáveis do lado do servidor. A validação insuficiente do conteúdo dos arquivos extraídos permitiu que o arquivo fosse extraído diretamente em um diretório de plugins acessível pela web, possibilitando a execução arbitrária de código PHP. O problema permite o comprometimento completo do sistema, incluindo impactos em confidencialidade, integridade e disponibilidade. O sistema validava apenas a extensão ZIP dos pacotes de plugins carregados, mas não impunha uma lista de permissões rigorosa de tipos de arquivo dentro do arquivo. Os arquivos extraídos eram colocados diretamente em um diretório acessível pela web, sem impedir a execução de scripts do lado do servidor.

Recomendações Atualize para a versão 24.0 ou posterior do AVideo. Desative a funcionalidade de upload/importação de plugins. Configure o servidor web para impedir a execução de arquivos PHP dentro dos diretórios de upload de plugins.